Solaris: účel SGID bitu na /usr/bin/passwd

NS2

Solaris: účel SGID bitu na /usr/bin/passwd
« kdy: 27. 03. 2020, 11:25:04 »
Může mi někdo objasnit jaký je praktický význam SGID bitu v souboru /usr/bin/passwd v OS sun solaris?
V solaris má soubor permissions -r-sr-sr-x, narozdíl od třeba ubuntu kde je pouze SUID bit -r-s--x--x.
« Poslední změna: 27. 03. 2020, 12:07:10 od Petr Krčmář »


RDa

  • *****
  • 917
    • Zobrazit profil
    • E-mail
Re:sun solaris - permissions /usr/bin/passwd
« Odpověď #1 kdy: 27. 03. 2020, 11:40:37 »
K posouzeni musis dopsat i jake jsou tam nastavene uid:gid pro /etc/shadow a pro tento passwd tool.

NS2

Re:Solaris: účel SGID bitu na /usr/bin/passwd
« Odpověď #2 kdy: 27. 03. 2020, 12:22:36 »
$ ls -l /etc/passwd /etc/shadow /usr/bin/passwd
-r--r--r--   1 root     sys      /etc/passwd
-r--------   1 root     sys      /etc/shadow
-r-sr-sr-x   3 root     sys      /usr/bin/passwd

RDa

  • *****
  • 917
    • Zobrazit profil
    • E-mail
Re:Solaris: účel SGID bitu na /usr/bin/passwd
« Odpověď #3 kdy: 27. 03. 2020, 22:09:59 »
Neco podobnyho jsem predpokladal - prakticky to znaci, ze spravci ve skupine "sys" muzou menit hesla.
Klasicky root:root a SUID predpoklada jen 1 root spravce. Zdejsi sys skupina jich umoznuje mit vicero.

tecka

Re:Solaris: účel SGID bitu na /usr/bin/passwd
« Odpověď #4 kdy: 28. 03. 2020, 05:31:11 »
Neco podobnyho jsem predpokladal - prakticky to znaci, ze spravci ve skupine "sys" muzou menit hesla.
Klasicky root:root a SUID predpoklada jen 1 root spravce. Zdejsi sys skupina jich umoznuje mit vicero.
Prakticky to značí, že passwd může spouštět každý a poběží s euid=root a egid=sys, přičemž euid=root stačí na změnu hesla. Proto nejspíš dotaz na zdánlivě nadbytečný SGID bit.


RDa

  • *****
  • 917
    • Zobrazit profil
    • E-mail
Re:Solaris: účel SGID bitu na /usr/bin/passwd
« Odpověď #5 kdy: 28. 03. 2020, 09:38:23 »
Neco podobnyho jsem predpokladal - prakticky to znaci, ze spravci ve skupine "sys" muzou menit hesla.
Klasicky root:root a SUID predpoklada jen 1 root spravce. Zdejsi sys skupina jich umoznuje mit vicero.
Prakticky to značí, že passwd může spouštět každý a poběží s euid=root a egid=sys, přičemž euid=root stačí na změnu hesla. Proto nejspíš dotaz na zdánlivě nadbytečný SGID bit.

Mas pravdu, napsal jsem desnou blbost! Tak jsem se po tom pidil.. a nasel k SUID tento komentar - otazka je, zda prave SUID na systemove ucty nejde konfiguraci OS nejak zakazat, ze pak budou selhavat:

The use of setuid permissions with the reserved UIDs (0-99) from a program might not set the effective UID correctly.
Use a shell script, or avoid using the reserved UIDs with setuid permissions.